Az üzenetküldő alkalmazások az egyik legfontosabb - ha nem a legfontosabb - alkalmazások, amelyeket minden nap használunk. Függetlenül attól, hogy kapcsolatot tartson a családdal és a barátokkal szerte a világon, kapcsolatba lépjen munkatársaival, vagy üzleti tevékenységeket folytasson, az olyan üzenetküldő alkalmazások, mint a WhatsApp, az iMessage, a Skype és a Facebook Messenger, fontos szerepet játszanak mindennapi kommunikációnkban.

Az üzenetküldő alkalmazásokban gyakran megosztunk többek között személyes képeket, üzleti titkokat és jogi dokumentumokat, olyan információkat, amelyeket nem akarunk rossz emberek számára hozzáférhetővé tenni. De meddig bízhatunk üzenetküldő alkalmazásaiban az összes bizalmas üzenetünk és érzékeny információk védelme érdekében?

Az alábbiakban bemutatunk néhány útmutatást, amely segít felmérni a kedvenc üzenetküldő alkalmazás által biztosított biztonsági szintet.

Néhány szó a titkosításról

Természetesen minden üzenetküldő platform titkosítja az Ön adatait. A titkosítás matematikai egyenleteket használ az adatok átalakításához az átmenetileg, hogy megakadályozzák a lehallgatók az üzeneteinek olvasását.

A megfelelő titkosítás biztosítja, hogy csak az üzenet küldője és címzettje tisztában legyen az üzenet tartalmával. A titkosítás azonban nem minden típusát teszi egyenlővé.

A legbiztonságosabb üzenetküldő alkalmazások azok, amelyek végpont-titkosítást (E2EE) kínálnak. Az E2EE alkalmazások a visszafejtési kulcsokat csak a felhasználói eszközökön tárolják. Az E2EE nemcsak védi a kommunikációt a hallgatóktól, hanem gondoskodik arról is, hogy az alkalmazást üzemeltető cég nem tudja elolvasni az üzeneteit. Ez azt is jelenti, hogy üzeneteit védeni fogják az adatsértések és a hárombetűs ügynökségek behatoló szavatosságai.

Egyre több üzenetküldő alkalmazás biztosítja a végpontok közötti titkosítást. A Signal volt az egyik első platform, amely támogatja az E2EE-t. Az utóbbi években más alkalmazások elfogadták a Signal titkosítási protokollt, vagy kidolgozták saját E2EE technológiájukat. Ilyen például a WhatsApp, Wickr és iMessage.

A Facebook Messenger és a Telegram szintén támogatja az E2EE üzenetküldést, bár alapértelmezés szerint nem engedélyezett, ami kevésbé biztonságos. A Skype a közelmúltban hozzátette a „Privát beszélgetés” opciót is, amely végpontok közötti titkosítást biztosít egy választott beszélgetésnél.

A Google Hangouts nem támogatja a végpontok közötti titkosítást, de a vállalat Allo és Duo, szöveges üzenetküldő és videokonferencia-alkalmazásokat biztosít, amelyek végpontok között vannak titkosítva.

Üzenet törlése

A biztonságon kívül más is, mint pusztán az üzenetek titkosítása. Mi lenne, ha az Ön készüléke vagy annak a személynek az eszköze, amellyel beszélgetsz, feltört vagy rossz kezekbe kerül? Ebben az esetben a titkosításnak kevés hasznos lesz, mivel a rosszindulatú szereplő láthatja az üzeneteket titkosítatlan formátumban.

Az üzenetek védelmének legjobb módja az, hogy megszabaduljon tőlük, amikor már nincs rá szüksége. Ez biztosítja, hogy még akkor is, ha az eszköz veszélybe kerül, a rosszindulatú szereplők nem férnek hozzá a bizalmas és érzékeny üzenetekhez.

Az összes üzenetküldő alkalmazás valamilyen formában biztosítja az üzenetek törlését, de megismétlem, hogy nem minden üzenet eltávolítási szolgáltatás egyformán biztonságos.

Például a Hangouts és az iMessage lehetővé teszi a csevegési előzmények törlését. Míg az üzenetek eltávolításra kerülnek az eszközéről, azok azon emberek eszközén maradnak, akikkel beszélgettek.

Ezért, ha eszközeik veszélybe kerülnek, akkor továbbra is elveszíti az érzékeny adatait. A jóváírás érdekében a Hangouts letilthatja a csevegési előzményeket, amely minden munkamenet után automatikusan eltávolítja az üzeneteket az összes eszközről.

A Telegram, a Signal, a Wickr és a Skype alkalmazásban törölheti a beszélgetés összes résztvevőjének üzeneteit. Ez biztosíthatja, hogy az érzékeny kommunikáció ne maradjon a beszélgetésben részt vevő eszközök egyikében sem.

A WhatsApp 2017-ben hozzáadott egy „Törlés mindenkinek” opciót, de felhasználhatja arra, hogy csak azokat az üzeneteket törölje, amelyeket az elmúlt 13 órában küldött. A Facebook Messenger a közelmúltban is hozzáadott egy „unsend” funkciót, bár csak 10 percig működik az üzenet elküldése után.

A Signal, a Telegram és a Wickr egy önpusztító üzenet funkcióval is rendelkezik, amely egy konfigurált időtartam elteltével azonnal eltávolítja az üzeneteket minden eszközről. Ez a szolgáltatás különösen jó érzékeny beszélgetésekhez, és megtakarítja az üzenetek kézi törlésével járó erőfeszítést.

Metaadatok

Minden üzenet tartalmaz kiegészítő mennyiségű információt, metaadatoknak is nevezik, mint például a feladó és a fogadó azonosítói, az üzenet küldésének, fogadásának és olvasásának ideje, IP-címek, telefonszámok, eszköz-azonosítók stb.

Az üzenetküldő szerverek tárolják és feldolgozzák az ilyen típusú információkat annak biztosítása érdekében, hogy az üzeneteket a megfelelő címzetteknek megfelelő időben kézbesítsék, és lehetővé tegyék a felhasználók számára a csevegési naplók böngészését és rendezését.

Noha a metaadatok nem tartalmaznak szöveges üzenetet, rossz kezekben ártalmasak lehetnek, és sokat tárhatnak fel a felhasználók kommunikációs mintáiról, például földrajzi helyzetükről, az alkalmazásuk használatának idejéről, az emberekről, akikkel kommunikálnak stb.

Abban az esetben, ha az üzenetküldő szolgáltatás adatsértés áldozatává válik, ez a fajta információ előkészítheti az utat a kibertámadásokhoz, például adathalász és egyéb szociális mérnöki rendszerekhez.

A legtöbb üzenetküldő szolgáltatás rengeteg metaadatot gyűjt, és sajnos nincs biztos módja annak, hogy megtudjuk, milyen típusú információs üzenetküldő szolgáltatások tárolódnak. De amiről tudjuk, a Signal a legeredményesebb. A vállalat szerint szerverei csak azt a telefonszámot regisztrálják, amellyel létrehozta a fiókot, és az utolsó dátumot, amikor bejelentkeztek a fiókjába.

Átláthatóság

Minden fejlesztő megmondja, hogy az üzenetküldő alkalmazásuk biztonságos, de hogyan lehet benne biztos? Honnan tudja, hogy az alkalmazás nem rejti el a kormány által bevezetett hátsó ajtót? Honnan tudja, hogy a fejlesztő jó munkát végzett az alkalmazás tesztelésével?

Az alkalmazások alkalmazásuk forráskódját, az úgynevezett „nyílt forráskódot” is nyilvánosan elérhetővé teszik, mivel megbízhatóbbak, mivel a független biztonsági szakértők megvizsgálhatják és megerősíthetik, biztonságban vannak-e vagy sem.

A Signal, a Wickr és a Telegram nyílt forráskódú üzenetküldő alkalmazások, vagyis független szakértők szakértői véleményeket készítettek ezekről. A Signal különösen olyan biztonsági szakértők támogatásával jár, mint Bruce Schneier és Edward Snowden.

A WhatsApp és a Facebook Messenger zárt forrású, de a nyílt forrású jelprotokollt használják üzenetük titkosításához. Ez azt jelenti, hogy legalább biztos lehet benne, hogy a Facebook, amely mindkét alkalmazás tulajdonosa, nem fogja megvizsgálni az üzenet tartalmát.

A teljesen zárt forrású alkalmazásokhoz, például az Apple iMessage-hez teljes mértékben bíznia kell a fejlesztőben, hogy elkerülje a katasztrofális biztonsági hibákat.

A világosság kedvéért a nyílt forráskód nem jelenti az abszolút biztonságot. De legalább megbizonyosodhat arról, hogy az alkalmazás nem rejt el semmit semmi csúnya a motorháztető alatt.